Аудит безопасности позволяет выявить уязвимые места организации. Если проверку не проводить, то компания может оказаться в эпицентре серьезных проблем и потерять репутацию, финансы, работников, клиентов.

Что такое аудит безопасности

Каждое предприятие ежедневно подвержено разного рода угрозам, но не все руководители это понимают. Высокий забор, надежная охрана хоть и создают физические условия безопасности для работников компании, однако не обеспечивают полную защиту.

Бывают ситуации, когда сомнительные действия «скрываются» внутри фирмы. Например, сотрудник крадет секретные сведения, к которым фактически у него не должно быть доступа, использует полученную информацию по своему усмотрению. В результате страдает репутация бизнеса, из-за чего предприятие теряет финансы, работников, клиентов.

Виды и цели аудита

Проверка безопасности может проводиться как сотрудниками предприятия, так и сторонними специалистами. В связи с этим аудит подразделяется на два вида:

• внутренний;
• внешний.

Крупные компании регулярно проводят первый вариант проверок, чтобы оценить работу службы безопасности, а также своевременно выявить и исправить существующие ошибки. Возникновение потенциальных рисков может быть обусловлено некомпетентностью работников, неслаженной коммуникацией между отделами предприятия, наличием устаревшего оборудования.

Внутренний аудит безопасности проводят аудиторы, работающие в проверяемой компании, либо организациями, которые подведомственны учредителю.

Однако такая проверка не всегда позволяет выявить опасность:

• сказывается фактор «дружбы» аудитора с коллегами, в отношении работы которых проводят аудит;
• отсутствует оценка рисков извне по причине, что эксперт анализирует предприятие исключительно изнутри;
• процесс превращается в шаблонное действие, где специалист не обращает внимания на многие детали.

Для проведения внешней проверки привлекают сторонние аудиторские компании. Плановые мероприятия проводят не реже, чем 1 раз в 3 года. Такие действия позволяют оценить эффективность охранной системы и реакцию службы на возникновение возможных угроз.

Аудит проводят в отношении сотрудников, выявляя влияние неслужебной связи на деятельность предприятия. Также проходит проверка работы оборудований, системы по контролю доступа, навыков охранной службы по выявлению прослушивающих устройств и по предотвращению вторжения посторонних лиц на объект.

Цель аудитов – оценить уровень безопасности предприятия и выявить уязвимые места. Для максимальной эффективности целесообразно проводить комплексную проверку, которая включает как внутренний анализ фирмы, так и внешний.

Основные этапы

Правильно выстроенная система процедуры повышает вероятность обнаружения потенциальных угроз.

Поэтому сотрудники “Русской Охраны”  проводят аудит в несколько этапов, каждый из которых тщательно изучают:

• определение границ оценки;
• проверка документов и технических устройств;
• анализ работы персонала;
• выявление слабых мест;
• составление отчета о результате.

На каждый уровень отводят определенное количество дней, которое регламентировано нормативно-правовыми актами, внутренними документами.

Как провести аудит безопасности

Прежде чем приступить к проверке, необходимо ограничить область работы. Инспекция всех направлений эффективна для обнаружения максимального числа угроз, но невыгодна с экономической точки зрения.

Многие руководители сужают область оценки, понимая, что в разных подразделениях внедрена одна информационная система. Например, аудит охраны труда по расценкам Москвы стоит от 9 тыс. руб., что не так затратно для крупной фирмы. Если риски обнаружили в первом филиале, то во втором проблемы выявляют уже самостоятельно на основании найденных ошибок.

Разобравшись с задачами, аудитор приступает к проверке документов, анализу записей с видеокамер, изучению лог-файлов СКУД. Проводит систематизацию информации, которую хранят внутри компании и передают внешним контрагентам. Также происходит инвентаризация технических и программных средств. Специалист исследует состояние сейфового оборудования, системы сигнализации.

Далее подробно изучает действия персонала. Процедура включает анализ того как сотрудники:

• работают с информацией и компьютерными программами;
• управляют доступом к конкретным сведениям;
• создают условия для обеспечения безопасности предприятия;
• используют электронную почту и интернет;
• обмениваются информацией с внешними контрагентами;
• отслеживают новости в сфере безопасности и т.д.

Когда анализ полностью проведен, аудитор сравнивает полученные результаты с идеальной моделью, чтобы выявить уязвимые места. После этого составляет отчет, в котором отражают проблемы предприятия, а также план первоочередных мероприятий по устранению рисков.

Как оценивать результаты

Международный стандарт ISO/IEC 17799 описывает эффективные советы по управлению ИБ. Огромное число положений сложно не только внедрить в деятельность крупнейших предприятий, но и регулярно проводить их соответствие с реальной работой. Поэтому руководство оценивает результат аудита безопасности по отчету, составленному исполнителем. Затем специалист приступает к поочередному устранению выявленных угроз, начиная с самых опасных.

Специалисты компании “Русская охрана” проводят аудит безопасности крупных предприятий, а также малого бизнеса и объектов личной собственности.

Аудит для малого бизнеса

Небольшие компании, как правило, не имеют в штате эксперта, что затрудняет проведение внутренних проверок. Внешний аудит также невозможен из-за финансовых аспектов. Начальство вынуждено самостоятельно анализировать свой бизнес.

Эксперты “Русской       охраны” рекомендуют придерживаться следующих советов:

1. Свод внутренних правил организации. Необходимо создать регламент информационной безопасности, согласно которому сотрудники будут знать свои обязанности. Важно не только ознакомить персонал с правилами, но и сделать это под их личную роспись.
2. Санкции за распространение информации. В политике организации необходимо отразить понятие конфиденциальных сведений. Следует распределить, какие лица будут иметь доступ к этой информации. За распространение скрытых данных также должны быть введены санкции.
3. Проверка использования компьютерных программ и оборудования. Нет необходимости контролировать каждый шаг своего подчиненного. Однако периодически можно посетить кабинет сотрудника и оценить рабочую деятельность.
4. Установка сетевых экранов, антивирусных программ. На компьютерах важно иметь средства защиты, чтобы не допустить утечки информации из-за вирусов и хакерских атак.
5. Резервные копии. В случае если произойдет какой-то сбой и вся информация будет утеряна, то при наличии физических офисов или облачного сервиса данные можно восстановить.

В малом бизнесе большинство уязвимостей возникает по причине банальной халатности персонала.